BTC 91650.4$
ETH 3323.23$
Tether (USDT) 1$
Toncoin (TON) 5.99$
telegram vk Х
telegram vk Х
Russian English
"

Ankr возлагает ответственность за кражу $5 млн на бывшего сотрудника и обещает улучшить безопасность

Дата публикации:22.12.2022, 12:28
3220
3220
Поделись с друзьями!

Взлом протокола Ankr на 5 миллионов долларов 1 декабря был совершен бывшим членом команды, согласно объявлению команды Ankr от 20 декабря. Команда предупредила соответствующие органы в попытке привлечь к ответственности злоумышленника и обещает укрепить свои методы обеспечения безопасности.

Бывший сотрудник провел «атаку на цепочку поставок», внедрив вредоносный код в пакет будущих обновлений внутреннего программного обеспечения команды. После применения обновления вредоносный код создал уязвимость в системе безопасности, которая позволила злоумышленнику украсть ключ развертывания команды с сервера компании.

Ранее команда объявила, что эксплойт был вызван украденным ключом развертывания, который использовался для обновления смарт-контрактов протокола. Но в то время они не объяснили, как был украден ключ развертывания.

Ankr предупредил местные власти и пытается привлечь нападавшего к ответственности. Он также пытается укрепить свои методы безопасности, чтобы защитить доступ к своим ключам в будущем.

Обновляемые контракты, подобные тем, которые используются в Ankr, основаны на концепции «учетной записи владельца», которая имеет исключительные полномочия на выполнение обновлений, согласно учебному пособию OpenZeppelin по этому вопросу. Из-за риска кражи большинство разработчиков передают право собственности на эти контракты в Gnosis Safe или другую учетную запись с мультиподписью. Команда Ankr заявила, что в прошлом она не использовала учетную запись с мультиподписью для владения, но будет делать это с этого момента, заявив:

«Эксплойт стал возможен отчасти потому, что в нашем ключе разработчика была единственная точка отказа. Теперь мы будем реализовывать аутентификацию с несколькими подписями для обновлений, которые потребуют выхода от всех хранителей ключей в течение ограниченных по времени интервалов, что делает будущие атаки такого типа чрезвычайно трудными, если не невозможными. Эти функции повысят безопасность нового контракта ankrBNB и всех токенов Ankr».

Ankr также пообещал улучшить практику работы с персоналом. Он потребует «расширенных» проверок биографических данных для всех сотрудников, даже тех, кто работает удаленно, и будет проверять права доступа, чтобы убедиться, что доступ к конфиденциальным данным может быть получен только теми работниками, которые в них нуждаются. Компания также внедрит новые системы уведомлений, чтобы быстрее оповещать команду, когда что-то пойдет не так.

Взлом протокола Ankr был впервые обнаружен 1 декабря. Он позволил злоумышленнику добыть 20 триллионов Ankr Reward Bearing Staked BNB (aBNBc), которые были немедленно обменены на децентрализованных биржах примерно на 5 миллионов USD Coin (USDC) и отправлены в Ethereum. Команда заявила, что планирует перевыпустить свои токены aBNBb и aBNBc для пользователей, пострадавших от эксплойта, и потратить 5 миллионов долларов из собственной казны, чтобы обеспечить полную поддержку этих новых токенов.

Разработчик также направил 15 миллионов долларов на замену стабильной монеты HAY, которая стала недостаточно обеспеченной из-за эксплойта.

Подписывайся на наш Telegram канал. Не трать время на мониторинг новостей. Только срочные и важные новости

https://t.me/block_chain24